Am 31. März 2022 wurde PCI DSS v4.0 veröffentlicht, die neueste Version des Payment Card Industry Data Security Standard. Es steht außer Frage, dass dieser neue Sicherheitsstandard die Datensicherheit auf globaler Ebene verändert. Um Ihrem Unternehmen einen sicheren Weg in die Zukunft zu garantieren, ist es jetzt an der Zeit, mit der Planung zu beginnen und entsprechende Prioritäten zu setzen.
Die Einhaltung von PCI DSS ist für Unternehmen, die Kreditkartenzahlungen akzeptieren - sei es online, in Geschäften oder sogar per Telefon - von entscheidender Bedeutung. Obwohl PCI DSS v3.2.1 erst im Jahr 2025 ausläuft, empfehlen wir Adyen-Händlern, sich so zeitnah wie möglich nach dem neuesten Standard zertifizieren zu lassen.
Die gute Nachricht ist, dass Adyen bereits nach PCI DSS v4.0 zertifiziert ist. Dadurch können wir Ihnen alle erforderlichen Informationen bereitstellen, um einen nahtlosen Übergang zum neuen Standard zu gewährleisten.
PCI DSS v4.0 kurz erklärt
PCI DSS v4.0 wurde im 1. Quartal 2022 veröffentlicht und bringt erweiterte Anforderungen in wichtigen Sicherheits- und Technologiebereichen mit sich. Dazu gehören unter anderem Mobiltelefone und Tablets, kontaktlose Zahlungen, Cloud-Integration, neue Praktiken der Softwareentwicklung sowie eine verstärkte Abhängigkeit von Dienstleistungen Dritter.
Der neue Standard wird in erster Linie durch vier vom PCI Security Standards Council festgelegte Hauptziele vorangetrieben:
Sicherstellen, dass der Standard auch weiterhin den Sicherheitsanforderungen der Payment-Branche entspricht.
Mehr Flexibilität und Unterstützung zusätzlicher Methoden zur Erreichung von Sicherheit.
Die Unternehmen sollen ermutigt werden, Sicherheit als einen kontinuierlichen Prozess zu betrachten.
Verbesserung der Validierungsmethoden und -verfahren, um sie robuster zu machen.
PCI DSS v4.0 wird v3.2.1 nach dem 31. März 2024 ablösen, mit einer zweijährigen Übergangsfrist. Trotz der umfangreichen Änderungen ist es für Unternehmen wichtig, sich aufgrund der Komplexität der Aktualisierungen lieber früher als später auf die Version 4.0 vorzubereiten.
PCI DSS v4.0 wird ab dem 31. März 2024 die Version v3.2.1 ablösen, wobei eine zweijährige Übergangsfrist gilt. Angesichts der umfangreichen Änderungen ist es für Unternehmen ratsam, sich lieber früher als später auf die Version 4.0 vorzubereiten.
Wichtige Änderungen für E-Commerce-Händler
Obwohl die Integration und Einrichtung für jeden Händler individuelle Anforderungen mit sich bringen kann, werden einige allgemeine Änderungen wahrscheinlich für die meisten E-Commerce-Händler gelten.
Anforderung 6.4.3: Absicherung von Skripten auf Zahlungsseiten
Skripte auf Zahlungsseiten müssen sorgfältig verwaltet werden, um eine böswillige Ausführung zu verhindern. Dies erfordert die Implementierung von Methoden zur Autorisierung und Gewährleistung der Integrität jedes Skripts. Außerdem muss ein Inventar mit Begründungen für die Notwendigkeit der einzelnen Skripte geführt werden.
Anforderung 11.3.2: Regelmäßige externe Schwachstellen-Scans
Unternehmen müssen alle drei Monate externe Schwachstellen-Scans durchführen, die von einem vom PCI SSC zugelassenen Scan-Anbieter durchgeführt werden. Regelmäßige Scans sind unerlässlich, um Schwachstellen in nach außen gerichteten Servern zu identifizieren, zu beheben und sich vor potenziellen Angriffen zu schützen. Während anfangs vier erfolgreiche Scans innerhalb von 12 Monaten nicht erforderlich sind, müssen in den folgenden Jahren mindestens alle drei Monate erfolgreiche Scans durchgeführt werden. Diese Anforderung ist ab sofort gültig.
Anforderung 11.6.1: Erkennung nicht autorisierter Änderungen
Diese Anforderung schreibt den Einsatz von Systemen zur Erkennung von Änderungen und Manipulationen auf Zahlungsseiten vor. Ziel ist es, Man-in-the-Middle-Angriffe und unerlaubte Änderungen zu verhindern.
Durch den Vergleich aktueller und bekannter Versionen von HTTP-Headern und Seiteninhalten können Händler verdächtige Änderungen erkennen, die auf Skimming-Angriffe hindeuten könnten. Verstöße gegen die Content Security Policy (CSP), Website-Geschwindigkeitstests und die manipulationssichere Einbettung von Skripten gehören zu den Mechanismen, die helfen, unerlaubte Änderungen zu erkennen.
Händler müssen diese Maßnahmen implementieren und mindestens wöchentlich durchführen, um die Sicherheit kritischer Webseiten zu gewährleisten.
Was Händler tun können, um sich vorzubereiten
Um die PCI DSS Compliance aufrechtzuerhalten, müssen Händler proaktive Maßnahmen ergreifen. Es ist von entscheidender Bedeutung, sich mit den Änderungen in PCI DSS v4.0 vertraut zu machen, damit Sie sich auf einen nahtlosen Übergang vorbereiten können. Wir empfehlen regelmäßige Gap-Assessments, um Bereiche mit Verbesserungsbedarf zu identifizieren. Eine frühzeitige Planung ist der Schlüssel, um Lücken zu schließen, bevor eine formale Validierung erforderlich wird.
Wir bei Adyen sind dank unserer sorgfältigen Bemühungen als eines der ersten Unternehmen der Branche nach dem neuesten Standard zertifiziert worden, was unser Engagement für ein sicheres Payment-Ökosystem unterstreicht.
Sicherheit als kontinuierlicher Prozess priorisieren
Angesichts der stetig zunehmenden Sicherheitsbedrohungen ist es wichtig, PCI DSS als kontinuierlichen Prozess zu betrachten und nicht nur als jährliche Checkliste. Mit einem PCI Self-Assessment Questionnaire (PCI SAQ) oder einem Report on Compliance (RoC) weisen Händler nach, dass sie Sicherheitsmaßnahmen zum Schutz von Karteninhaberdaten ergreifen und die PCI-Anforderungen erfüllen.
Da die Dokumente nach einem Jahr ab dem Datum der Unterzeichnung verfallen, empfehlen wir einen ganzjährigen Ansatz für PCI DSS. Indem sie der Sicherheit das ganze Jahr über Priorität einräumen, können Unternehmen wiederholte Zyklen kurzfristiger Konformität und anschließende Versäumnisse vermeiden.
Mitarbeiterschulungen sind eine weitere Möglichkeit, Sicherheit als kontinuierlichen Prozess zu betrachten. Dadurch können Mitarbeiter über die Bedeutung von PCI DSS und ihre Rolle bei der Sicherung von Zahlungsdaten aufgeklärt werden. Wenn dies Teil der Unternehmenskultur ist, können Kontrollmängel schnell erkannt, gemeldet und korrigiert werden.
Sind Sie bereit? Los geht's!
Die Umsetzung der PCI DSS kann entmutigend erscheinen, insbesondere ohne einen etablierten Rahmen für den effektiven Schutz von Kontodaten. Kein Grund zur Sorge! Wir stehen Ihnen mit Rat und Tat zur Seite.
Für einen tieferen Einblick in die neuen Anforderungen haben wir zwei Ressourcen für Sie bereitgestellt:
Adyen Leitfaden zur Einhaltung des PCI DSS (Englisch)
Adyen Help (Deutsch)
Holen Sie sich Payment-News direkt in Ihre Inbox.
Ich bestätige, dass ich die Datenschutzbestimmungen von Adyen gelesen habe und stimme der Verwendung meiner Daten im Einklang damit zu.